Una vulnerabilità critica (CVE-2022-36804) hè stata identificata in Bitbucket Server, un pacchettu per implementà una interfaccia web per travaglià cù repositori git, chì permette à un attaccu remotu cù accessu di lettura à repositori privati o publichi per eseguisce codice arbitrariu in u servitore. mandendu a dumanda HTTP cumpleta. U prublema hè presente da a versione 6.10.17 è hè stata risolta in Bitbucket Server è Bitbucket Data Center versioni 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, è 8.3.1. A vulnerabilità ùn appare micca in u serviziu di nuvola di bitbucket.org, ma affetta solu i prudutti chì sò stallati in i so locali.
A vulnerabilità hè stata identificata da un investigatore di sicurezza cum'è parte di l'iniziativa Bugcrowd Bug Bounty, chì furnisce ricompense per identificà vulnerabilità scunnisciute prima. A ricumpensa era di 6 mila dollari. I dettagli nantu à u metudu di attaccu è u prototipu di sfruttamentu sò prumessi per esse revelati 30 ghjorni dopu chì u patch hè publicatu. Cum'è una misura per riduce u risicu di un attaccu à i vostri sistemi prima di applicà u patch, hè cunsigliatu di limità l'accessu publicu à i repositori utilizendu l'impostazione "feature.public.access=false".
Source: opennet.ru